Idén om en “Cyber Genève-Konventionen” har fått ånga under de senaste fem åren. Baserat på den ursprungliga genèvekonventionen, som har anor från 1864, det skulle säkerställa att vissa typer av attacker, samt specifika mål, skulle vara off-gränser i ett cyberkrig.
Begreppet regler som dikterar vad som inte bör vara tillåtna i krig kom efter Swiss national Henry Dunant besökte sårade soldater under Andra italienska Kriget av Enande och fann att lite var som tillhandahålls för att hjälpa de sårade och döende. Han kallas för en permanent lättnad byrå som skulle bistå med humanitär hjälp i tider av krig — som blev Internationella Röda Korset.
Ännu viktigare, Dunant föreslog regeringen fördraget att känna organisationen och dess neutralitet. För sina insatser blev han en corecipient av de första Nobels Fredspris 1901.
Den första Genève-Konvention om sjuka och sårade soldater men med tiden utökades till att omfatta behandling av krigsfångar. Efter andra Världskriget, det var ändrad för att täcka krigsförbrytelser.
Haagkonventionerna
Genève-Konventioner primära fokus har varit på sårade soldater, och behandlingen av fångar och hur krigsförbrytare skulle kunna straffas.
I själva verket, genèvekonventionerna är ofta förväxlas med haagkonventionerna från 1899 och 1907, som var bland de första formella uttalanden som riktar sig krigets lagar och brott. (En tredje Haagkonventionen var att ta plats i 1915 men inte på grund av starten av andra Världskriget.)
Poängen med båda dessa konventioner är att i krigföring vissa saker borde vara tabu. Haag-Konventionerna som regler om användning av kemiska och biologiska vapen, vilket var sidestepped och sedan direkt ignoreras under andra Världskriget.
Men, krigande länder har följt de regler; ingendera sidan i andra Världskriget använde giftgas, trots att båda sidor hade stora lager på plats.
Ett liknande fördrag skulle se till att vissa saker skulle vara off-gränser i cyberwarfare, som orsakar att ett kärnkraftverk för att smälta ner.
Den
Royal United Services Institute förnyade samtal för en sådan pakt tidigare år, vilket tyder på att skapandet av en enkel digital markör kan säkerställa att system och trafik kan identifieras som skyddas i cyberconflict under en internationell konvention.
Lägga Grunden
Haag-Konventionerna skulle inte ha varit möjligt hade det inte varit för genèvekonventionen. Innan dessa konventioner, regler för krig var i huvudsak består av befälhavarna på den tiden.
En It-Genève-Konventionen, kan ha en fast grund, som säkerhet beslutsfattare redan har diskuterat vissa frågor vid evenemang såsom 2011 Munich Security Conference. Mer nyligen, President barack Obama och kinas President Xi Jinping i oktober åtagit sig att en it-säkerhet avtal som skulle begränsa stöld av intellektuell egendom.
Frågan är om sådana icke-bindande avtal är värt det digitala papperet de är skrivna på.
“Avtalet mellan USA och Kina är inte riktigt verkställbar,” sade Killen Nizan, VD,
IntSights Cyber Intelligence.
Medan regeringar har kommit överens om att inte stjäla varandras IP-avtalet inte riktigt beskriva hur de nationer skulle sluta eller ens förhindra att deras medborgare och företag från att delta i en sådan taktik.
“Idag kan du inte alltid vet vem som ligger bakom attacken, och det är relativt lätt att täcka dina spår,” Nizan berättade TechNewsWorld. “Det är inte verkställbar, eftersom du inte har en organisation som
Internationella atomenergiorganet på plats.”
Vad är Off-Limits
De viktigaste motiven för något avtal, men är fortfarande bygger på tanken att vissa mål bör vara avstängd i krigföring.
“Ett sådant avtal kommer att vara en nödvändighet i hur saker och ting är på väg,” sade Bruce McConnell, global vice president vid EastWest Institute.
“Civila kärnkraftverk är ett bra exempel på vad som borde vara tabu i någon form av cyberattack,” han berättade TechNewsWorld.
“Anledningen till att ett sådant avtal är nödvändigt är en av privilegier, särskilt i cyberrymden, där det kan vara mycket svårt att säga vem som sköt det första skottet,” McConnell läggas till.
“Den andra frågan är en av felräkning, där vad som kan vara en mindre skala och hacka slutar att kosta liv och förstöra viktig infrastruktur,” sade han.
Regeringen Stöd
Som en följd av President barack Obamas möte med President Xi och deras efterföljande avtal, det är inte troligt att USA och Kina kommer att styra it-angrepp mot en annan. Säkert kommer de att utöva tillräckligt med återhållsamhet för att undvika den typ av storskaliga attacker som skulle betraktas som krigshandlingar om konventionella vapen som användes.
En nära analogi är hur agenter för den serbiska secret society Svart Hand mördad Österrike-Ungerns ärkehertig och ställa av första Världskriget 1914. Dessa agens inte har officiellt stöd för den serbiska regeringen, men i stället arbetat på dess begäran. Österrikes regering svarade med att förklara krig mot Serbien.
“Det är en utmärkt analogi och summerar de faror vi står inför i dag”, konstaterade McConnell.
“Vi såg nyligen i it-angrepp mot Estland som inte direkt av Moskva men var iscensatt av dålig medborgargarde”, tillade han. “Idag finns det många grupper som kan eller skulle rikta konkurrerande befogenheter’ – system som inte officiellt arbetar på böcker.”
Anonyma Hot
Ett annat hot kommer från civila aktörer som inte är knuten till någon regering. Hacker kollektiva känd som Anonym nyligen förklarat krig mot ISIS, och ingendera sidan är det sannolikt att respektera varje fördragen.
“Om länder undertecknar den fråga som flyttar till hur de kontrollerar sina befolkningar”, konstaterar Stephen Coty, chef för hot forskning vid Registreringen Logik.
“Hacking är fortfarande mellan Kina och USA, så att underteckna ett papper kan inte ha gjort så stor skillnad”, sa han till TechNewsWorld. “Om något, regeringar kan se ut till tredje parter
upprätthålla deniability.”
Som tar hotet tillbaka full cirkel, där grupper kan kopplas till en regering indirekt — såsom Serbien är Svarta Handen.
“När dessa grupper går du efter den privata sektorn-som inte kan omfattas av sådana fördrag i alla fall-företag kan se att hacka tillbaka,” föreslog McConnell. “I det här fallet, vi kan sluta med cyber
kapare, med bokstäver av marque att gå efter hackare. Och det leder oss tillbaka till en upptrappning oro.”
Cyberkrig Vs. Cyberespionage
Den slutliga oro med en It-Geneve/Haagkonventionen är att det skulle vara knuten till cyberkrig, men som inte tar spionage. Varken Genève eller Haag-Konventionerna omfattar spionage eller spioneri — så även om ett sådant avtal har utarbetats, kan det lämna öppna möjligheten för folk att använda cyberrymden för att samla information.
“Spioneri redan spelas av vissa oskrivna regler som de flesta av oss inte till fullo uppskatta”, sade McConnell.
“Vad gör detta annorlunda är att i traditionella spionage du får information som finns i den verkliga världen, eller kör tillgångar”, sade han.
“I den digitala världen, kan det vara mer än bara stöld av data, det kan vara att lämna något bakom som kan orsaka skador samt,” McConnell läggas till.
Exempel på detta är Stuxnet och Flame virus attacker riktade mot Irans kärntekniska program 2009-2010. Dessa attacker suddiga linjen mellan business-as-usual spionage och en attack — och tydligt syftade till kinetisk skada snarare än att samla information.
Iran tros ligga bakom flera mindre svar på attackerna, som illustrerar hur sådana attacker kan trappas upp allt för snabbt.
Alternativa Steg
En konvention som kanske inte har så mycket makt eller myndighet, om det fungerar som ett oberoende organ, ungefär som IAEA, föreslog IntSights’ Nizan.
I stället för en konvention, “USA bör inrikta ansträngningarna på att skapa en tvingande mekanism som kan hålla ansvarig nationen för alla hacka grupper inom det,” tillade han.
Som kan leda till en internationell byrå för att dela data om IPs och hot aktörer och stänga slingan när det behövs, men det viktiga är att definiera straff för överträdelser. Det kan också rikta oseriösa grupper och nonstate spelare.
“Precis som atomic energy problem, du kan göra det mycket svårt att bedriva it-angrepp-om du har en sådan verkställas It-Konventionen,” sade Nizan. “I slutet, grupper som ISIS förlita sig på att äventyras, servrar och anslutningar för att kunna utföra en cyberattack. Västvärlden kan se att det inte är lätt att få sådana resurser att använda denna typ av konventionen.”
